Interesting Windows Registry Keys
दिलचस्प Windows रजिस्ट्री कुंजी
Windows संस्करण और मालिक जानकारी
Software\Microsoft\Windows NT\CurrentVersion
पर स्थित है, आपको Windows संस्करण, सेवा पैक, स्थापना समय, और पंजीकृत मालिक का नाम सीधे ढंग से मिलेगा।
कंप्यूटर नाम
होस्टनाम
System\ControlSet001\Control\ComputerName\ComputerName
के तहत पाया जाता है।
समय क्षेत्र सेटिंग
सिस्टम का समय क्षेत्र
System\ControlSet001\Control\TimeZoneInformation
में संग्रहित है।
पहुंच समय ट्रैकिंग
डिफ़ॉल्ट रूप से, अंतिम पहुंच समय ट्रैकिंग बंद होती है (
NtfsDisableLastAccessUpdate=1
). इसे सक्षम करने के लिए, इस्तेमाल करें:fsutil behavior set disablelastaccess 0
Windows संस्करण और सेवा पैक
Windows संस्करण में संस्करण (जैसे, होम, प्रो) और इसका रिलीज (जैसे, Windows 10, Windows 11) दिखाता है, जबकि सेवा पैक में सुधार और कभी-कभी नए विशेषताएँ शामिल होती हैं।
अंतिम पहुंच समय सक्षम करना
अंतिम पहुंच समय ट्रैकिंग सक्षम करने से आप देख सकते हैं कि फ़ाइलें कब आखिरी बार खोली गई थीं, जो जांच या सिस्टम मॉनिटरिंग के लिए महत्वपूर्ण हो सकता है।
नेटवर्क सूचना विवरण
रजिस्ट्री में नेटवर्क कॉन्फ़िगरेशन पर व्यापक डेटा होता है, जिसमें नेटवर्क के प्रकार (वायरलेस, केबल, 3जी) और नेटवर्क श्रेणियाँ (सार्वजनिक, निजी/घर, डोमेन/काम) शामिल हैं, जो नेटवर्क सुरक्षा सेटिंग्स और अनुमतियों को समझने के लिए महत्वपूर्ण हैं।
क्लाइंट साइड कैशिंग (CSC)
CSC साझा फ़ाइलों का कैशिंग करके ऑफ़लाइन फ़ाइल एक्सेस को बढ़ाता है। विभिन्न CSCFlags सेटिंग्स नियंत्रित करती हैं कि कैसे और कौन सी फ़ाइलें कैश होती हैं, प्रदर्शन और उपयोगकर्ता अनुभव पर प्रभाव डालती हैं, खासकर उन परिस्थितियों में जहां अंतरिक्षिक कनेक्टिविटी हो।
ऑटोस्टार्ट प्रोग्राम
विभिन्न
Run
औरRunOnce
रजिस्ट्री कुंजी में सूचीबद्ध प्रोग्राम स्वचालित रूप से स्टार्टअप पर लॉन्च होते हैं, सिस्टम बूट समय पर प्रभाव डालते हैं और मालवेयर या अवांछित सॉफ़्टवेयर की पहचान के लिए महत्वपूर्ण बिंदु हो सकते हैं।
शेलबैग्स
शेलबैग्स न केवल फ़ोल्डर दृश्य के लिए पसंद रखते हैं बल्कि यदि फ़ोल्डर अब मौजूद नहीं है तो फ़ोल्डर एक्सेस के फोरेंसिक साक्ष्य भी प्रदान करते हैं। वे जांचों के लिए अनमोल हैं, अन्य माध्यमों के माध्यम से स्पष्ट न होने वाली उपयोगकर्ता गतिविधि का पता लगाने के लिए।
USB जानकारी और फोरेंसिक्स
USB डिवाइस के बारे में रजिस्ट्री में संग्रहित विवरण एक कंप्यूटर से कनेक्ट किए गए कौन से डिवाइस का पता लगाने में मदद कर सकते हैं, संवेदनशील फ़ाइल स्थानांतरण या अनधिकृत पहुंच घटनाओं से एक डिवाइस को जोड़ सकते हैं।
वॉल्यूम सीरियल नंबर
वॉल्यूम सीरियल नंबर एक फ़ाइल सिस्टम के विशिष्ट उदाहरण का पता लगाने के लिए महत्वपूर्ण हो सकता है, जिसे विभिन्न उपकरणों पर फ़ाइल का मूल स्रोत स्थापित करने के लिए फोरेंसिक स्थितियों में उपयोगी होता है।
शटडाउन विवरण
शटडाउन समय और गणना (केवल XP के लिए)
System\ControlSet001\Control\Windows
औरSystem\ControlSet001\Control\Watchdog\Display
में रखे जाते हैं।
नेटवर्क कॉन्फ़िगरेशन
विस्तृत नेटवर्क इंटरफेस जानकारी के लिए,
System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}
का संदर्भ दें।पहली और आखिरी नेटवर्क कनेक्शन समय, व्यूपीएन कनेक्शन सहित, विभिन्न पथों में लॉग किए गए हैं
Software\Microsoft\Windows NT\CurrentVersion\NetworkList
।
साझा फोल्डर
साझा फोल्डर और सेटिंग्स
System\ControlSet001\Services\lanmanserver\Shares
के तहत हैं। क्लाइंट साइड कैशिंग (CSC) सेटिंग्स ऑफ़लाइन फ़ाइल उपलब्धता निर्धारित करती हैं।
स्वचालित रूप से शुरू होने वाले प्रोग्राम
पथ जैसे
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
औरSoftware\Microsoft\Windows\CurrentVersion
के तहत समान प्रविष्टियाँ विस्तार से विवरणित करती हैं जो स्टार्टअप पर चलाने के लिए सेट किए गए प्रोग्राम हैं।
खोजें और टंकित पथ
एक्सप्लोरर खोज और टंकित पथ रजिस्ट्री में ट्रैक किए जाते हैं
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer
के तहत WordwheelQuery और TypedPaths के लिए।
हाल के दस्तावेज़ और ऑफिस फ़ाइलें
हाल के दस्तावेज़ और ऑफिस फ़ाइलें जिनका उपयोग किया गया है, उन्हें नोट किया गया है
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
और विशेष ऑफिस संस्करण पथों में।
हाल ही में उपयोग किए गए (MRU) आइटम
MRU सूचियाँ, हाल के फ़ाइल पथ और कमांड दर्शाती हैं, विभिन्न
ComDlg32
औरExplorer
सबकी मेंNTUSER.DAT
के तहत संग्रहित होती हैं।
उपयोगकर्ता गतिविधि ट्रैकिंग
उपयोगकर्ता सहायत
Last updated